就是資安

之前我分享過一則離職員工為了報復公司而入侵系統並惡搞客戶汽車的新聞，這次出問題的則是用來監測汽車輪胎胎壓的監測器。安全研究員發現這些監測器存在安全上的漏洞，如果修改其所讀取到的數值，將可造成電子控制器 (ECU, electronic control unit) 的誤判或失效。雖然目前控制器對於胎壓不正常可能僅是發出聲音警告駕駛人，因而尚不致於造成實際的危害，但是如果日後控制器的行為更為進化 (例如強制停車)，所產生的後果就不僅止於小小的困擾，甚至可能因此造成人員的傷亡。再加上這些胎壓監測器都具有一個獨特的識別編號，因此駭客可以很準確地鎖定目標，並從遠端發動攻擊。   相關連結： Cars hacked through wireless tire sensors

在 運鈔車大盜 裡，一群資深的保全人員計畫在一次運送大量現金的行動中自導自演一場打劫的戲碼。成員間的精神領袖麥克剛介紹一位好友的兒子泰進入保全公司，並成為同一個小組的成員。為了確保計畫的成功，麥克力邀泰一起參與行動。泰盡管有著荒唐的過去，但是在參與過戰爭與接下照顧弟弟的責任後，泰對於人生有了不一樣的體認，也因此在第一時間就回絕了麥克的提議。然而造化弄人，社福單位因為泰的經濟狀況不佳並疏於照顧弟弟，因此打算把其弟弟交付給寄養家庭。迫於現實的無奈，泰最後決定一起參與行動，希望這次行動能夠讓他解決經濟的問題。運鈔行動開始後，組員們把運鈔車開至一座荒廢的工廠，想要把錢藏起來。正當大家興高采烈的搬著現金時，突然發現有一個遊民意外的目睹了這一切的事件，也因此引發了組員間的爭執。就在一片混亂之中，一位組員開槍射殺了遊民。泰看到傷重的遊民於心不忍，因此想要帶著遊民前往醫院救治，因此惹擾了其他組員，雙方因而產開一場你追我打的對抗戲碼。 主角泰跟他的好友麥克 (右一) 是保全公司的警衛，泰的警衛工作甚至是麥克介紹來的。 麥克跟一群認識已久的好同事私底下也是好朋友，只有泰是新加入的成員。 麥克告訴泰他們即將運送一大筆現鈔。

之前我討論過許多次關於更新的重要性並介紹了相關的工具，然而對於許多資訊背景的人員來說，上補丁 (Patching) 一詞或許比更新更令人覺得親切。不管是叫做更新或是上補丁，指的都是利用置換程式執行檔 (或其他相關檔案) 的方式來修正應用程式 (包含作業系統等各種程式) 的問題，這類問題包含安全性的問題、功能的提升、或是一般操作性的錯誤。 雖然 Patching 是解決應用程式問題時最有效也是最重要的方法，但是 Patching 在實際的應用上卻也存在著不少的困擾： 如果存在問題的應用程式是商業軟體，使用者通常只能等待原廠提供更新檔案。在此之前，使用者無法對應用程式本身做任何的處理。對於安全性的問題而言，這段更新前的空窗期將會讓應用程式處於一個毫無防備能力的困境。這類問題就是所謂的 Zero-day Attacks。 早期的攻擊手法多以網路與作業系統作為目標，而這類產品的供應商大多屬於大型的組織，所以提供更新的速度與品質具有一定的質量。但是現在攻擊手法多以應用程式為主要攻擊目標，所有相關的供應商服務能量不一，再加上技術能力的良莠不齊，導致等待時間的空窗期變得更長，使用者甚至無法取得正式的更新檔案。 就算是使用 Open Source 的應用程式，一旦發生問題後雖然使用者可以自行對於應用程式本身進行修改，但是對大多數的使用者而言並不具備這樣的技術能力與資源 (人力/時間)。再加上原開發團隊屬於志願性質，因此對於提供更新的保證顯得更加的薄弱。 組織在進行實際更新作業前，往往必須經過審慎的測試過程。對於越重要的系統，測試過程的時間也就越長，也就是說越重要的系統處於未更新的時間越長。然而這類系統一旦發生問題，所產生的危害卻也更大。在兩者影響相互放大的情況下，讓問題的嚴重性急速惡化。

不管安全議題是不是雲端運算日後能否蓬勃發展的主要障礙，安全議題目前確實是組織在決定是否採用雲端運算技術時最擔憂的考量。對此 Global Knowledge 發表了一份白皮書 – 10 Security Concerns for Cloud Computing，內文當中提到了在採用雲端服務前必須確認的 10 個問題。這 10 個問題分別是 資料在哪裡？(Where’s the data?)
不同的國家或地區對於資料保護的法規與規範相當分歧，而且有些法規會限制資料所能存放或流經的地區。 誰擁有存取的權限？(Who has access?)
內部攻擊往往導因於鬆散或錯誤的權限管理，了解授權的管理流程與控管機制可作為你判斷的依據。 有任何法規上的規範嗎？(What are your regulatory requirements?)
法規擁有絕對的強制性，因此必須了解業務所在地與產業的法規規範，並確認採用雲端服務後可以符合相關的規範。 你是否擁有稽核的權力？(Do you have the right to audit?) 供應商對於員工的教育訓練計畫。(What type of training does the provider offer their employees?)
人永遠是資訊安全中最脆弱的一個環節，良好的員工教育訓練除了可以減少人為的疏失，更可以增進服務的能量。 供應商採用何種資訊分類系統。(What type of data classification system does the provider use?)
了解供應商如何對客戶的資料進行分類，又如何保護這些分類過後的資料。保護不侷限於存放中的資料，更包含保護使用與傳輸中的資料。此外，不同客戶間的資料如何隔離也是必須注意的地方。 服務水準協議的內容。(What are the service level agreement (SLA) terms?)
所有的服務事項必須以合約為主，所以服務水準協議的內容必須明確的記載服務的範圍與各項量測數據。 供應商長期提供服務的可行性。(What is the long-term viability of the provider?)
為避免日後轉換系統的困擾，應該盡可能找尋能夠長期合作的供應商。因為雲端服務尚屬新興市場，在缺乏足夠的歷史資料以供參考的情況下，慎選供應商顯得更形重要與困難。 發生安全事件時的處理方式。(What happens if there is a security breach?)
雖然供應商不斷強調自身系統的安全性，但是雲端服務的系統對駭客而言依舊是一個極具吸引力的目標，更何況沒有任何的系統擁有絕對的安全，所以了解一旦發生資訊安全的問題時供應商將提供哪些協助是相當重要的課題。 災難復原與業務持續計畫。(What is the disaster recovery/business continuity plan (DR/BCP)?)
除了了解災難與業務持續計畫的內容外，最重要的是確認其 RTO/RPO 符合你自身業務的需求。

常常進行網路瀏覽的使用者一定有一個感受，那就是有很多的機會都需要填寫一些繁瑣的表格，而其中有很多基本資料 (例如姓名、電話) 甚至是不斷重複出現的。為了減少使用者的困擾，有不少相關的外掛工具可以幫助使用者自動填寫一些標準的欄位。而除了透過外掛工具外，大多數瀏覽器還內建了另外一個較為陽春的功能，就是會把之前填寫過的網頁資料記錄下來，而下次當你需要重複填寫同一個網頁時，這些資料就可以自動出現。這個功能首先由 Microsoft 所推出，稱之為 auto complete。 自動記憶曾經利用這台電腦的瀏覽器 (此例為 Chrome) 登入過 facebook 的帳號。 以畫面上的例子而言，瀏覽器會把使用者曾經輸入到 Facebook 電郵地址欄位的資料記憶下來，並根據使用者已經輸入的資料顯示合適的建議。這個情況出現在自己的電腦上，我相信沒有太多人會因此而感到不安。但是如果這個情況出現在一台公用的電腦上，那麼就會產生一些值得討論的議題。首先雖然以資訊安全的角度來說使用者的帳號也是需要保密的資料之一，但是對於大多數的使用者而言帳號並不是什麼極具機密的資料，儘管帳號就是自己的電郵地址亦然。也就是說以 Facebook 這個例子而言，對使用者來說往往並不會造成困擾，而且也不致於造成實際的損失。但是如果今天自動顯示的資料不是一個電郵地址，而是身分證字號、甚至是信用卡卡號呢？

在無線區域網路 (Wi-Fi) 當中，安全性的問題一直是一個令人坐立難安的課題。從 WEP 可以在數分鐘之內被破解，再到有人將破解 WPA 變成雲端服務，WPA2 是目前在理論與實務上能夠有效保護 Wi-Fi 的唯一協定。然而就像所有的系統都無法永遠保證其安全性一樣，已經有資訊安全研究員宣稱找到 WPA2 的漏洞，可以用來進行中間人攻擊 (Man-in-the-Middle Attack)。此次被發現的漏洞被稱之為 ‘Hole 196’，而 ‘Hole 196’ 並不是導因於實作上的錯誤，也不是加密演算法出問題，而是在於規範本身的定義。也因為問題出在規範本身，所以目前 (甚至在可見的未來) 並沒有任何方式可以用來避免這個問題的產生。唯一的好消息是要利用這個漏洞發動中間人攻擊之前，攻擊者必須先通過無線網路的驗證，也就是說通過授權的內部使用者最有可能利用這個漏洞進行攻擊。發現 ‘Hole 196’ 的研究員預計將於 Black Hat Arsenal 與 DEF CON 18 發表演說，並介紹更多相關的細節。   相關連結： WPA2 vulnerability found

明天過後 是一部以地球氣候變遷為主軸的災難電影。這類災難電影免不了都要來段冒著生命危險拯救親人的感人劇情，而這次選定的是父親冒著大風雪前往搭救兒子的戲碼。男主角的兒子山姆因為參加校際機智問答比賽而前往紐約，沒想到剛好遇上災難性氣候轉變，洪水加上暴風雪讓整個北方區域成為重災區，而山姆與一大群人則被困在紐約的圖書館當中。在所有無線通訊都無法使用的情況下，山姆想到利用傳統的有線電話與男主角取得聯繫，不但順利報了平安，更讓男主角知道要去哪裡解救親愛的兒子…
身為男主角，即使職業是教授同樣可以擁有矯健的身手。
男主角在最後一刻終於趕到並載送兒子山姆前往機場。

近幾年應用程式所產生的安全漏洞數量已經明顯高於網路與作業系統層級的總和，其中尤其以 Web 相關的應用程式為最大宗。包含網站本身所存在的安全問題，再加上各式各樣瀏覽器與外掛程式 (如惡名昭彰的 Flash)，都讓相關問題日益嚴重。雖然目前有很多方法與工具可以幫助服務供應商與使用者解決相關問題，但是因為缺乏共通性的標準而讓整個事情變得很難有效地管理與追蹤。舉例來說，身為一個使用者，你怎麼知道 Gmail 與 Hotmail 哪一個比較安全？好吧，或許 Google 與 Hotmail 本來就各自擁有為數眾多的愛用者，所以這個問題可能不是那麼難回答 (答案對不對是另外一回事)。但是如果今天換成是兩個名不見經傳的小網站，要回答哪一個網站比較安全可就不是那麼容易的事情了。 OWASP 是一個專注於 Web 應用程式安全的非營利性組織，在 2008 年開始推動應用程式安全認證的計畫， 並於 2009 年推出正式的版本，稱之為 OWASP Application Security Verification Standard 2009 (後簡稱 ASVS)。OWASP 是一個中立的組織，所以 ASVS 也不侷限應用在特定的架構或平台之上。不過儘管標準的名稱是 Application Security Verification，但是整個計畫依舊是以 Web 應用程式的安全議題為主。在軟體開發的領域中，Verification 這個動作指的乃是檢查最後的產出 (例如可執行的程式碼) 是否符合當初規範。至於規範本身合不合於實際的應用，乃至於製作過程當中是否有什麼需要改進的作法，則都不屬於 Verification 的範疇。規範本身合用與否，可以透過 User Acceptance Testing 等方式加以確認。而製作過程的合適與否，目前則以 CMMI 這類標準為主。不過 CMMI 是以確保軟體的品質為主要目標，因此 OWASP 提出了另外一個稱之為 Software Assurance Maturity Model (SAMM) 的標準與之對應，SAMM 正是專注於軟體的可靠度 (Assurance)。簡而言之，ASVS 與 CMMI/SAMM 等著重在整體作業流程的標準不同，反倒是比較像 Common Criterion (CC)。 OWASP 希望透過 ASVS 可以提供 Web 應用程式所有相關人員一個共通性的語言，清楚的標示出必須完成哪些安全性的需求。這裡所謂的相關人員，除了我們平常慣稱為甲乙方的直接人員外，也包含了最終的使用者。只是對於最終使用者而言並不需要了解標準的詳細內容，只需知道最後的檢驗結果就足夠了。除此提供共通的語言與標準外，ASVS 還將所有需要檢驗的項目分成 4 個大的層級 (其中兩個層級又各自分成 A、B 兩個子層級)，層級越高表示檢驗項目的數量與深度也隨之增加。透過層級的劃分讓相關人員可以評估不同系統之間何者較值得信任，較高的層級往往也就表示更值得信任。ASVS 層級的定義如下：

大兵小將 的時代背景設定在戰國時代，主角有兩位，分別是梁國的小兵與衛國的大將軍 (太子)。必須一提的是，雖然在電影中把電影情節的前後事件做了很明確的介紹，但是故事中劇情並不是真實的歷史事件，所以在引用上可得小心了。回到故事本身，小兵與大將兩人相遇在一場慘烈的戰役上，是唯二的生還者。衛國大將軍因為與梁國大將軍做了一場生死決鬥，因此體力不支而被貪生怕死的小兵所虜獲。戰場上擒獲敵將自是大功一件，可以獲得五畝良田與終生免除兵役，也因此小兵說什麼也要拼死把敵國將軍抓回去領賞。就在返回粱國的路途中，兩人巧遇一個能歌善舞的落單女子。這個女子因為對戰爭所帶來的毀滅感到深惡痛絕，因此對軍人充滿敵意。而小兵無意間把大將軍的裝備穿戴在身上，再加上他帶著一個俘虜，讓女子誤以為他才是一個殺人無數的大將軍，所以就在酒中下毒想要給他一個教訓。沒想到陰錯陽差之下，被誤認的大將軍與真正的大將軍都喝下了有毒的酒，昏迷不醒… 貪生怕死的粱國小兵，連身上的弓箭都是假的。 衛國大將軍費盡千辛萬苦終於打敗粱國將軍。  螳螂補禪，黃雀在後。小兵雖然怕死腦袋可靈光了。

電影 食破天驚 描述一位從小就喜歡搞一些創意發明的小男孩，因為太過專注於發明而被同伴視為怪胎。小男孩所居住的小鎮資源不豐，唯一的特產就是沙丁魚。就在小男孩長大後，小鎮居民的生計因為沙丁魚不再受到市場的歡迎而受到很大的影響。就在一次陰錯陽差的錯誤下，男主角意外發明了一個可以讓食物從天而降的機器，並瞬間成了小鎮的英雄。然而就在大家恣意要求男主角利用機器產生大量食物的同時，食物開始產生變化，不但外觀變得更巨大，甚至產生了自己的思想… 男主角向女主角解釋食物製造機的原理。 女主角對於這個神奇的機器有些質疑。  男主角設計了一個用來指示食物是否安全的度量。